LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTRAS

 

ĮSAKYMAS

DĖL ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMO TVARKOS APRAŠO PATVIRTINIMO

 

2019 m. kovo 28 d. Nr. V-385

Vilnius

 

 

Vadovaudamasis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1):

1.   Tvirtinu Asmens duomenų saugumo pažeidimų valdymo tvarkos aprašą (pridedama).

2.         Įgalioju atlikti veiksmus, numatytus šiuo įsakymu patvirtintame Asmens duomenų saugumo pažeidimų valdymo tvarkos apraše:

2.1.      Elektroninės sveikatos sistemos ir informacinių išteklių skyriaus vyriausiąjį specialistą Vytautą Gavėnavičių, o jo laikinai nesant – Elektroninės sveikatos sistemos ir informacinių išteklių skyriaus vyriausiąją specialistę Simoną Gricienę – dėl asmens duomenų, tvarkomų registruose ir valstybės informacinėse sistemose, kurių duomenų valdytojas yra Lietuvos Respublikos sveikatos apsaugos ministerija (toliau – Ministerija), saugumo pažeidimų;

2.2.      Veiklos administravimo skyriaus patarėją Gintarą Navicką, o jo laikinai nesant – Veiklos administravimo skyriaus vyriausiąją specialistę Oksaną Kavaliauskienę – dėl asmens duomenų, tvarkomų Ministerijos informacinėje sistemoje ir (ar) apdorojamų kitomis Ministerijos informacinių technologijų priemonėmis, pažeidimų.

2.3.      Veiklos administravimo skyriaus vyriausiąjį specialistą Artūrą Nestiuką, o jo laikinai nesant – Veiklos administravimo skyriaus vyriausiąją specialistę Oksaną Kavaliauskienę – dėl asmens duomenų, nenurodytų šio įsakymo 2.1 ir 2.2 papunkčiuose, pažeidimų.

3.   Pavedu Dokumentų valdymo ir asmenų priėmimo skyrių su šiuo įsakymu supažindinti Lietuvos Respublikos sveikatos apsaugos ministerijos valstybės tarnautojus ir darbuotojus, dirbančius pagal darbo sutartis.

 

 

 

Sveikatos apsaugos ministras                                                                                       Aurelijus Veryga

 

PATVIRTINTA

Lietuvos Respublikos

sveikatos apsaugos ministro

2019 m. kovo 28 d. įsakymu Nr. V-385

 

 

ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMO TVARKOS APRAŠAS

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1.       Asmens duomenų saugumo pažeidimų valdymo tvarkos aprašas (toliau – Aprašas) nustato asmens duomenų saugumo pažeidimų (toliau – pažeidimas) ir jų priežasčių klasifikavimą, pranešimo apie pažeidimus Lietuvos Respublikos sveikatos apsaugos ministerijai (toliau – Ministerija), Valstybinei duomenų apsaugos inspekcijai (toliau – Inspekcija) ir duomenų subjektams, pažeidimų tyrimo, jų ir jų pasekmių pašalinimo ir mažinimo, pažeidimų prevencijos ir dokumentavimo tvarką.

2.       Aprašas taikomas Ministerijai, registrų bei valstybės informacinių sistemų, kurių duomenų valdytojas yra Ministerija, duomenų tvarkytojams bei juridiniams asmenims, su kuriais sudaryta asmens duomenų tvarkymo sutartis tvarkyti asmens duomenis pagal Ministerijos nurodymus (toliau kartu – duomenų tvarkytojai).

3.       Aprašas parengtas atsižvelgiant į 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentą (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1) (toliau – Reglamentas (ES) 2016/679).

4.       Apraše vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Reglamente (ES) 2016/679 ir Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme.

 

II SKYRIUS

PAŽEIDIMŲ IR JŲ PRIEŽASČIŲ KLASIFIKAVIMAS

 

5.         Pažeidimai pagal pobūdį (tipą) yra:

5.1.      konfidencialumo pažeidimas – netyčinis arba neteisėtas asmens duomenų laikinas ar nuolatinis atskleidimas ar prieigos prie asmens duomenų suteikimas asmenims, kurie neturi teisės susipažinti su asmens duomenimis;

5.2.      prieinamumo pažeidimas – neteisėtas, laikinas ar nuolatinis prieigos prie asmens duomenų praradimas arba asmens duomenų sunaikinimas;

5.3.      vientisumo pažeidimas – neteisėtas asmens duomenų laikinas ar nuolatinis pakeitimas;

5.4. mišraus pobūdžio (tipo) pažeidimas – asmens duomenų konfidencialumo, prieinamumo ir vientisumo pažeidimas ar bet kurių Aprašo 5.1–5.3 papunkčiuose nurodytų pažeidimų derinys.

6.         Pažeidimai gali būti nulemti šių priežasčių:

6.1.      netyčiniai veiksmai, kai asmens duomenų saugumas pažeidžiamas neturint tikslo tai padaryti (dėl duomenų tvarkymo klaidos, informacijos laikmenų, duomenų įrašų ištrynimo, sunaikinimo ar sistemų sutrikimų dėl elektros tiekimo nutrūkimo, įvykusio dėl asmens veiklos, kompiuterinio viruso, paskleisto dėl asmens veiklos, vidaus taisyklių pažeidimo, sistemos priežiūros trūkumo, programinės įrangos testų atlikimo, netinkamos duomenų laikmenų priežiūros, netinkamo ryšio linijų pajėgumo ir apsaugos nustatymo, kompiuterių integravimo į tinklą, netinkamos kompiuterinių programų apsaugos parinkimo ir kt.);

6.2.      tyčiniai veiksmai, kai asmens duomenų saugumas pažeidžiamas sąmoningai turint tikslą tai padaryti (neteisėtas įsibrovimas į asmens duomenų tvarkytojo patalpas, asmens duomenų laikmenų saugyklas, informacines sistemas, kompiuterių tinklą, tyčinis nustatytų taisyklių tvarkant asmens duomenis pažeidimas, sąmoningas kompiuterinio viruso platinimas, asmens duomenų vagystė, neteisėtas naudojimasis kito Ministerijos valstybės tarnautojo ar darbuotojo, dirbančio pagal darbo sutartį (toliau kartu – darbuotojas), teisėmis ir kt.);

6.3.      force majeure ir kiti netikėti įvykiai, kurių negalima kontroliuoti, numatyti ir užkirsti kelio jų atsiradimui (žaibas, gaisras, potvynis, užliejimas, audros, elektros instaliacijos degimas, temperatūros ir (ar) drėgmės pakitimų poveikis, purvo, dulkių ir magnetinių laukų įtaka, techninės avarijos, išskyrus nurodytas Aprašo 6.1 papunktyje, ir kt.).

 

III SKYRIUS

PRANEŠIMAS APIE GALIMĄ PAŽEIDIMĄ IR JO NAGRINĖJIMAS

 

7.       Ministerijos darbuotojas, sužinojęs ar pats nustatęs galimą pažeidimą arba kai informacija apie galimą pažeidimą gaunama iš duomenų tvarkytojo, žiniasklaidos ar kito šaltinio (toliau – galimo pažeidimo paaiškėjimas), privalo:

7.1.    nedelsiant, bet ne vėliau kaip per 2 darbo valandas nuo galimo pažeidimo paaiškėjimo momento informuoti žodžiu, raštu ar elektroninėmis priemonėmis savo tiesioginį vadovą, ministro įgaliotą asmenį ir Ministerijos duomenų apsaugos pareigūną;

7.2.    užpildyti Aprašo 1 priede nustatytos formos pranešimą apie galimą asmens duomenų saugumo pažeidimą ir nedelsiant, bet ne vėliau kaip per 4 darbo valandas nuo galimo pažeidimo paaiškėjimo momento perduoti jį ministro įgaliotam asmeniui ir jo kopiją – Ministerijos duomenų apsaugos pareigūnui;

7.3.    jei įmanoma, imtis priemonių pašalinti galimą pažeidimą ir priemonių galimoms neigiamoms jo pasekmėms sumažinti.

8.       Duomenų tvarkytojas paaiškėjus galimam pažeidimui privalo:

8.1.    nedelsdamas, bet ne vėliau kaip per 24 valandas nuo galimo pažeidimo paaiškėjimo momento, apie tai pranešti Ministerijai, raštu pateikdamas pranešimą, kuriame nurodyta Reglamento (ES) 2016/679 33 straipsnio 3 dalyje nustatyta informacija, kiek tos informacijos įmanoma pateikti tuo metu, taip pat teikti Ministerijai šiame punkte nurodytą informaciją, jei ji nebuvo pateikta per šiame punkte nurodytą terminą nedelsiant po jos paaiškėjimo;

8.2.    Aprašo V skyriuje nustatytais atvejais ir tvarka Ministerijos vardu pranešti apie galimą pažeidimą Inspekcijai ir Aprašo VI skyriuje nustatytais atvejais ir tvarka – duomenų subjektams;

8.3.    kai asmens duomenų, tvarkomų registruose ir valstybinėse informacinėse sistemose, kurių duomenų valdytojas yra Ministerija, arba pagal Ministerijos nurodymus, galimas saugumo pažeidimas yra susijęs su kibernetiniu incidentu, informaciją apie galimą pažeidimą kartu su informacija apie kibernetinį incidentą pateikti Lietuvos Respublikos kibernetinio saugumo įstatyme nurodytoms valstybės institucijoms Lietuvos Respublikos kibernetinio saugumo įstatymo nustatyta tvarka ir atvejais;

8.4.    kuo greičiau imtis priemonių pašalinti pažeidimus ir (ar) sumažinti ar pašalinti jų pasekmes, siekiant atkurti padėtį, kuri buvo prieš pažeidimą;

8.5.    bendradarbiauti su Ministerija tiriant pažeidimą ir per Ministerijos nurodytą terminą teikti Ministerijai visą jos prašomą informaciją, susijusią su informavimu apie pažeidimą ir jo tyrimu.

9.       Ministro įgaliotas asmuo, gavęs Aprašo 7.2 ar 8.1 papunktyje nurodytą pranešimą (toliau kartu – pranešimas) privalo:

9.1.    atlikti pažeidimo tyrimą Aprašo IV skyriaus nustatyta tvarka;

9.2.    pasitelkti Ministerijos darbuotojus pagal kompetenciją (asmens duomenų, tvarkomų Ministerijoje, saugumo pažeidimo atveju) ar duomenų tvarkytojų darbuotojus pagal kompetenciją (asmens duomenų, tvarkomų registruose ir valstybės informacinėse sistemose, kurių duomenų valdytojas yra Ministerija, saugumo pažeidimo ir asmens duomenų, tvarkomų pagal Ministerijos nurodymus, saugumo pažeidimo atveju), jei pažeidimas yra susijęs su elektroninės informacijos saugos ir (ar) kibernetiniu incidentu;

9.3.    asmens duomenų, tvarkomų Ministerijoje, saugumo galimo pažeidimo atveju, kai galimas pažeidimas yra susijęs su kibernetiniu incidentu, informaciją apie galimą pažeidimą kartu su informacija apie kibernetinį incidentą pateikti Lietuvos Respublikos kibernetinio saugumo įstatyme nurodytoms valstybės institucijoms Lietuvos Respublikos kibernetinio saugumo įstatymo nustatyta tvarka ir atvejais;

9.4.    teikti rekomendacijas Ministerijos darbuotojams, atsakingiems už pažeidimo ir (ar) jo pasekmių pašalinimą ir (ar) sumažinimą, ir (ar) duomenų tvarkytojui dėl tinkamų techninių ir organizacinių priemonių, kad pažeidimas būtų išsamiai ištirtas ir jis ir (ar) jo pasekmės būtų pašalintos ir (ar) sumažintos ir pažeidimas ateityje nepasikartotų, taikymo ir (arba) pats imtis šių veiksmų.

10.     Ministerijos duomenų apsaugos pareigūnas, gavęs pranešimą privalo:

10.1.  informaciją apie galimą pažeidimą fiksuoti Asmens duomenų saugumo pažeidimų registracijos žurnale (Aprašo 2 priedas) (toliau – Žurnalas);

10.2.  ministro įgaliotam asmeniui ir Ministerijos kancleriui patarti dėl pažeidimo tyrimo ir teikti išvadas dėl pranešimų Inspekcijai ir (ar) duomenų subjektui;

10.3.  bendradarbiauti su Inspekcija dėl pažeidimų;

10.4.  stebėti, kaip vykdomos Reglamente (ES) 2016/679 ir Apraše nustatytos Ministerijos pareigos, susijusios su pažeidimų valdymu.

11.     Kai yra įtariama, kad pažeidimas turi nusikalstamos veikos požymių, informacija apie galimą nusikalstamą veiką pateikiama valstybės institucijoms, įgaliotoms atlikti ikiteisminį tyrimą, teisės aktų, reguliuojančių tokios informacijos teikimą, nustatyta tvarka. Asmens duomenų, tvarkomų registruose ir valstybinėse informacinėse sistemose, kurių duomenų valdytojas yra Ministerija, arba pagal Ministerijos nurodymus, saugumo pažeidimo atveju tokį pranešimą pateikia duomenų tvarkytojas, o asmens duomenų, tvarkomų Ministerijoje, saugumo pažeidimo atveju – ministro įgaliotas asmuo.

 

IV SKYRIUS

PAŽEIDIMO TYRIMAS

 

12.     Ministro įgaliotas asmuo nedelsiant, bet ne vėliau kaip per 24 valandas nuo pranešimo gavimo momento, išnagrinėja pranešime nurodytas aplinkybes, įvertina, ar padarytas pažeidimas, jei pažeidimas padarytas, nustato, kokio pobūdžio (tipo) pažeidimas padarytas, asmens duomenų, kurių saugumas pažeistas, kategorijas, įskaitant specialių kategorijų asmens duomenis, pažeidimo priežastis, pažeidimo apimtis (duomenų subjektų kategorijos ir jų skaičius), esamas ir (ar) galimas pasekmes ir žalą, padarytą duomenų subjektui (-ams), įvertina pavojų duomenų subjekto teisėms ir laisvėms (toliau – rizika), kuris gali atsirasti dėl galimo pažeidimo, Aprašo 14-15 punktuose nustatyta tvarka ir pateikia Ministerijos duomenų apsaugos pareigūnui ir Ministerijos kancleriui (ar jo įgaliotam asmeniui) išvadą dėl pažeidimo buvimo ir rizikos.

13.     Pažeidimo tyrimo metu darbuotojai ir duomenų tvarkytojas privalo operatyviai teikti ministro įgaliotam asmeniui visą jo paprašytą su pažeidimu susijusią informaciją ir dokumentus.

14.     Rizika vertinama objektyviai įvertinus pažeidimo aplinkybes ir atsižvelgiant į:

14.1.  pažeidimo pobūdį (tipą);

14.2.  asmens duomenų pobūdį, kategoriją (pvz., specialių kategorijų asmens duomenys), asmens duomenų, kurių saugumas pažeistas pažeidimu, apimtį;

14.3.  duomenų subjekto identifikavimo galimybę tiesiogiai ar netiesiogiai pasinaudojant pažeidimo objektu esančiais duomenimis;

14.4.  padarinių duomenų subjektui sunkumą. Vertinant riziką turi būti laikoma, kad pažeidimas, galintis kelti pavojų duomenų subjektų teisėms ir laisvėms, yra toks, dėl kurio, laiku nesiėmus tinkamų priemonių, kyla grėsmė duomenų subjektų sveikatai ir (ar) gyvybei ar grėsmė patirti materialinę ar nematerialinę žalą, pvz., prarasti savo asmens duomenų kontrolę, patirti teisių apribojimą, diskriminaciją, gali būti pavogta ar suklastota jo asmens tapatybė, jam padaryta finansinių nuostolių, neleistinai panaikinti pseudonimai, gali būti pakenkta jo reputacijai, prarastas asmens duomenų, kurie saugomi profesine paslaptimi, konfidencialumas arba padaryta kita ekonominė ar socialinė žala. Preziumuojama, kad pažeidimas kelia riziką, kai pažeidimas yra susijęs su specialių kategorijų asmens duomenimis;

14.5.  duomenų subjekto savybes (pvz., vaikas ar kitas pažeidžiamas asmuo);

14.6.  duomenų subjektų, kurių asmens duomenų saugumas buvo pažeistas, skaičių;

14.7.  duomenų valdytojo savybes (pvz., veiklos pobūdį).

15.     Įvertinus riziką nustatoma, kad yra:

15.1.  maža rizika, kai nustatoma, kad pavojaus duomenų subjekto teisėms ir laisvėms nėra;

15.2.  vidutinė rizika, kai nustatoma, kad dėl asmens duomenų saugumo pažeidimo yra / gali kilti nedidelis pavojus duomenų subjektų teisėms ir laisvėms;

15.3.  didelė rizika, kai nustatoma, kad dėl asmens duomenų saugumo pažeidimo yra / gali kilti didelis pavojus duomenų subjektų teisėms ir laisvėms.

16.     Jeigu per 24 val. nuo pranešimo gavimo momento dėl objektyvių priežasčių nebuvo nustatytos visos aplinkybės, nurodytos Aprašo 14 punkte, ministro įgaliotas asmuo atlieka tolesnį pažeidimo tyrimą. Šiame punkte nurodytas tyrimas turi būti atliktas ir Aprašo 3 priede nustatytos formos Asmens duomenų saugumo pažeidimo ataskaita (toliau – Ataskaita) parengta ir pateikta Ministerijos kancleriui, Ministerijos duomenų apsaugos pareigūnui ir duomenų tvarkytojo vadovui, jei tai susiję su duomenų tvarkytojo atliekamais asmens duomenų tvarkymo veiksmais, ne vėliau kaip per 20 darbo dienų nuo pažeidimo paaiškėjimo dienos.

17.     Jeigu išvadoje dėl pažeidimo buvimo ir rizikos nurodyta, kad rizikos nėra, tačiau Aprašo 16 punkte nurodyto pažeidimo tyrimo metu nustatoma, kad rizika gali kilti, arba jo metu pasikeitė rizikos laipsnis, ministro įgaliotas asmuo turi riziką vertinti iš naujo Aprašo 14–15 punktuose nustatyta tvarka.

 

V SKYRIUS

PRANEŠIMAS INSPEKCIJAI

 

18.     Aprašo 15.2 ir 15.3 papunkčiuose nurodytais atvejais asmens duomenų, tvarkomų Ministerijoje, saugumo pažeidimo atveju Ministerija, o asmens duomenų, tvarkomų registruose ir valstybės informacinėse sistemose, kurių duomenų valdytojas yra Ministerija, arba pagal Ministerijos nurodymus, saugumo pažeidimo atveju Ministerijos vardu duomenų tvarkytojas ne vėliau kaip per 72 valandas nuo galimo pažeidimo paaiškėjimo momento, Inspekcijos nustatyta tvarka ir sąlygomis praneša apie pažeidimą Inspekcijai (toliau – pranešimas Inspekcijai) ir pranešimo Inspekcijai kopiją pateikia Ministerijai.

19.     Ministerijos duomenų apsaugos pareigūnas per 24 val. nuo ministro įgalioto asmens išvados dėl pažeidimo buvimo ir rizikos gavimo momento, pateikia išvadą Ministerijos kancleriui (ar jo įgaliotam asmeniui) dėl pranešimo apie pažeidimą Inspekcijai bei Aprašo 15.2 ir 15.3 papunkčiuose nurodytais atvejais parengia pranešimo dėl asmens duomenų, tvarkomų Ministerijoje, saugumo pažeidimo projektą, išskyrus 18 punkte nurodytą atvejį, kai pranešimą Inspekcijai Ministerijos vardu pateikia duomenų tvarkytojas.

20.     Ministerijos kancleris (ar jo įgaliotas asmuo) per 24 val. nuo Aprašo 19 punkte nurodytos Ministerijos duomenų apsaugos pareigūno išvados gavimo momento priima sprendimą dėl pranešimo teikimo Inspekcijai ir informuoja apie priimtą sprendimą ministro įgaliotą asmenį ir Ministerijos duomenų apsaugos pareigūną. Jeigu abejojama dėl rizikos priskyrimo Aprašo 15.2 ar 15.3 papunkčiuose nurodytam rizikos lygiui, apie pažeidimą Inspekcijai pranešama.

21.     Jeigu atliekamas Aprašo 16 punkte nurodytas tyrimas, Inspekcijai informacija gali būti teikiama etapais. Apie informacijos teikimą etapais Ministerija arba duomenų tvarkytojas Inspekciją informuoja pranešime Inspekcijai.

22.     Jeigu po pranešimo Inspekcijai pateikimo, atlikus Aprašo 16 punkte nurodytą tolesnį tyrimą, yra nustatoma, kad saugumo incidentas buvo sustabdytas ir nebuvo pažeidimo, apie tai ne vėliau kaip per 3 darbo dienas nuo šios informacijos paaiškėjimo momento Ministerija arba duomenų tvarkytojas informuoja Inspekciją ir pažymi Žurnale.

 

VI SKYRIUS

PRANEŠIMAS DUOMENŲ SUBJEKTUI

 

23.     Aprašo 15.3 papunktyje nurodytu atveju asmens duomenų, tvarkomų Ministerijoje, saugumo pažeidimo atveju Ministerija, o asmens duomenų, tvarkomų registruose ir valstybės informacinėse sistemose, kurių duomenų valdytojas yra Ministerija, arba pagal Ministerijos nurodymus, saugumo pažeidimo atveju Ministerijos vardu duomenų tvarkytojas privalo nedelsdamas (rekomenduojama per 72 val. nuo galimo pažeidimo paaiškėjimo momento) apie tai raštu pranešti duomenų subjektui, kurio teisėms ir laisvėms dėl šio pažeidimo kyla didelė rizika. Pranešimas rengiamas ir teikiamas šio skyriaus ir Aprašo 18–20 punktuose mutatis mutandis nustatyta tvarka.

24.     Pranešime duomenų subjektui aiškia ir paprasta kalba pateikiama:

24.1.  pažeidimo pobūdžio aprašymas;

24.2.  Ministerijos, duomenų tvarkytojo duomenų apsaugos pareigūno arba kito kontaktinio asmens vardas, pavardė (pavadinimas) ir kontaktiniai duomenys;

24.3.  galimų pažeidimo pasekmių aprašymas;

24.4.  priemonių, kurių ėmėsi Ministerija ir (ar) duomenų tvarkytojas arba siūlo imtis duomenų subjektui, kad būtų pašalintas pažeidimas ir (ar) pašalintos ar sumažintos galimos neigiamos jo pasekmės, aprašymas (pvz., kad apie pažeidimą yra informuota Inspekcija ir kad yra gautas patarimas dėl pažeidimo pasekmių pašalinimo ar sumažinimo; siūlymas duomenų subjektui pasikeisti slaptažodžius ir kt.);

24.5.  kita reikšminga informacija, susijusi su pažeidimu, kuri, Ministerijos ar duomenų tvarkytojo manymu, turėtų būti pateikta duomenų subjektui.

25.     Pranešimo pateikimo būdas pasirenkamas atsižvelgiant į tai, kokius duomenų subjekto kontaktinius duomenis tvarko Ministerija ir (ar) duomenų tvarkytojas, ir į tai, kuris būdas geriausiai užtikrintų, kad pranešimas pasiektų adresatą. Šis pranešimas turi būti atskirtas nuo kitos siunčiamos informacijos, tokios kaip nuolatiniai atnaujinimai, naujienlaiškiai ar standartiniai pranešimai. Gali būti taikomi keli pranešimo duomenų subjektui apie pažeidimą būdai.

26.     Pranešimas duomenų subjektui apie pažeidimą neteikiamas, išskyrus, jei teikti pranešimą reikalauja Inspekcija, šiais atvejais:

26.1.  Ministerija ir (ar) duomenų tvarkytojas įgyvendino tinkamas technines ir organizacines asmens duomenų apsaugos priemones, kurios užtikrino, kad įvykus pažeidimui nekils rizika, ir tos priemonės taikytos asmens duomenims, kuriems pažeidimas turėjo poveikio (pvz., asmens duomenys buvo šifruoti);

26.2.  iš karto po pažeidimo Ministerija ir (ar) duomenų tvarkytojas ėmėsi priemonių, kuriomis užtikrinama, kad nebegalėtų kilti rizika;

26.3.  reikėtų neproporcingai daug pastangų susisiekti su duomenų subjektais (pvz., kai jų kontaktiniai duomenys buvo prarasti dėl pažeidimo arba nežinomi). Tokiu atveju Aprašo 24 punkte nurodyta informacija apie pažeidimą paskelbiama viešai arba taikoma panaši priemonė, kuria duomenų subjektai būtų informuojami taip pat efektyviai, pvz., pranešimas interneto svetainėje, spaudoje ar pan.

27.     Jeigu Ministerija ar duomenų tvarkytojas pranešimo duomenų subjektui apie pažeidimą neteikė, asmens duomenų, tvarkomų Ministerijoje, saugumo pažeidimo atveju Ministerija, o asmens duomenų, tvarkomų registruose ir valstybės informacinėse sistemose, kurių duomenų valdytojas yra Ministerija, arba pagal Ministerijos nurodymus, saugumo pažeidimo atveju Ministerijos vardu duomenų tvarkytojas turi pagrįsti Inspekcijai, kad įvykdė vieną iš Aprašo 26 punkte nurodytų sąlygų.

VII SKYRIUS

ŽURNALO DUOMENŲ TVARKYMAS

 

28.     Ministerija ir duomenų tvarkytojas tvarko atskirus Žurnalus.

29.     Žurnale nurodoma:

29.1.  Visi su pažeidimu susiję faktai – pažeidimo priežastis, kas įvyko ir kokie asmens duomenys pažeisti;

29.2.  pažeidimo poveikis ir pasekmės;

29.3.  taisomieji veiksmai (techninės priemonės), kurių buvo imtasi;

29.4.  su pažeidimu susijusių sprendimų priėmimo priežastys (pvz., kodėl duomenų valdytojas nusprendė nepranešti apie pažeidimą Inspekcijai ir (ar) duomenų subjektui, t. y. kodėl nusprendė, kad rizika žema, arba kokią Aprašo 26 punkte nurodytą sąlygą įvykdė);

29.5.  pranešimo Inspekcijai pateikimo vėlavimo priežastys (jeigu pranešimą vėluojama pateikti ar pranešimas teikiamas etapais);

29.6.  informacija, susijusi su pranešimu duomenų subjektui (pvz., ar buvo pranešta, kodėl nepranešta ir pan.);

29.7.  kita reikšminga informacija, susijusi su pažeidimu (pvz., kad tyrimo metu nustatyta, jog Pažeidimo nebuvo, o buvo tik saugumo incidentas).

30.     Už Žurnalo pildymą ir saugojimą atsakingas Ministerijos duomenų apsaugos pareigūnas. Žurnale registruojami visi pažeidimai, nepaisant to, ar apie juos pranešta Inspekcijai ir (ar) duomenų subjektui, ar tokie pažeidimai kelia riziką. Žurnalas gali būti popierinės arba elektroninės formos. Užpildytas Žurnalas saugomas 5 metus nuo paskutinio įrašo Žurnale padarymo.

31.     Informacija apie pažeidimą į Žurnalą turi būti įvedama nedelsiant, kai tik paaiškėja galimas pažeidimas, bet ne ilgiau kaip per 5 darbo dienas nuo galimo pažeidimo paaiškėjimo momento. Kai pasikeičia Žurnale nurodyta informacija arba paaiškėja nauja informacija, Žurnale esanti informacija turi būti papildoma ir (ar) koreguojama.

32.     Žurnalas yra pateikiamas Inspekcijai jai pareikalavus.

33.     Ministerijos duomenų apsaugos pareigūnas kartą per ketvirtį peržiūri Žurnale esančius įrašus ir pasiūlo Ministerijos kancleriui, kokios prevencijos priemonės turėtų būti įgyvendintos bei kaip turėtų būti kontroliuojamas šių prevencijos priemonių įdiegimas, kad ateityje tokie patys pažeidimai nesikartotų.

 

VIII SKYRIUS

BAIGIAMOSIOS NUOSTATOS

 

34.     Ministerijos darbuotojai ir duomenų tvarkytojai privalo išsaugoti esamos situacijos, susijusios su galimu pažeidimu, įrodymus, kad vėliau naudojant technines ir organizacines priemones (pvz., duomenų srauto ir prisijungimų analizės įrankius ar kt.) galima būtų tirti pažeidimą.

35.     Prireikus Ministerijoje gali būti sudaryta darbo grupė tirti pažeidimus (įskaitant jų priežastis, pasekmes) bei teikti pasiūlymus Ministerijos kancleriui dėl pažeidimų išvengimo ateityje. Ministerija nuolat tobulina vidinius procesus, atsižvelgdama į nustatytas pažeidimų priežastis.

36.     Atsižvelgęs į Ataskaitą Ministerijos kancleris prireikus tvirtina priemonių planą, kuriame numatomos būtinos techninės, organizacinės, administracinės ir kitos priemonės, reikalingos užkirsti kelią pažeidimams, jų pasekmėms pašalinti ar sumažinti, atsakingi priemonių vykdytojai ir įgyvendinimo terminai.

––––––––––––––––––––